Mozilla Skin

Discussion:Configuration d'une connexion VPN avec OpenVPN

De Wiki de l'internet libre.

Sommaire

-- Pierre 3 août 2009 à 12:05 (UTC) -- Pierre 3 août 2009 à 12:05 (UTC)

Je viens de voir que sur cette page : http://openvpn.net/index.php/open-source/downloads.html , une version de test de la 2.1 est sortie. Elle inclut justement la partie "GUI". ça serait peut etre bien d'en tenir compte.

Re: -- Pierre 3 août 2009 à 12:05 (UTC) -- Xbb 3 août 2009 à 12:11 (UTC)

"If you'd like the Windows GUI version of OpenVPN, you can get it from Mathias Sundman's OpenVPN GUI site"
Et quand on va voir le fameux site, il s'agit du GUI dont je vais parler. SAUF que sur le site de Mathias Sundman's, on ne contrôle pas ce qu'on installe. Et on a également le risque d'installer une version OpenVPN qui n'est pas la toute dernière. ALors qu'en faisant les installations séparées, on est sûr d'avoir OpenVPN à jour.
Enfin, séparer les 2 installations permet de bien comprendre le rôle de chaque truc. OpenVPN pour le VPN, et la GUI qui ne fait "que" tourner la bête.

Re: -- Pierre 3 août 2009 à 12:05 (UTC) -- Pierre 3 août 2009 à 12:09 (UTC)

juste un petit bug de l'installeur sous windows : il y a des avertissement d'installation de pilotes non certifiés, et ceux ci apparaissent en arrière plan...

Re: Re: -- Xbb 3 août 2009 à 12:14 (UTC)

J'en parle brièvement : j'explique qu'il faut tout accepter. Par contre moi je ne les ai pas en arrière plan !
Re: Re: Re: -- Pierre 3 août 2009 à 12:05 (UTC) -- Pierre 3 août 2009 à 12:16 (UTC)
Je suis sur le Windows XP de ma boite...

Re: Re: -- Pierre 3 août 2009 à 12:05 (UTC) -- Pierre 3 août 2009 à 12:15 (UTC)

haaaaaa ok ! N'empeche qu'il y a encore du boulot à faire du coté de leur interface ! Je n'ai meme pas trouvé où aller pour établir une connexion ! (Et pourtant je suis pas un débutant en info ...(meme si on a toujours à apprendre ...))

-- Xbb 4 août 2009 à 11:35 (UTC)

Merci pour ta contribution Gaelprud ! (OpenVPN sous OS X)

Re: -- Gaelprud 4 août 2009 à 13:23 (UTC)

Mais de rien, se fut un plaisir !

-- Pierre 4 août 2009 à 13:26 (UTC)

ça avance la version pour windows ? j'ai toujours pas compris comment ça marche ... il faut editer des fichiers de config ?

Re: -- Xbb 4 août 2009 à 13:51 (UTC)

disoulé disoulé disoulé... Je m'occupe vite de tout ça :) (oui il faut modifier les fichiers config)

Re: Re: -- Pierre 4 août 2009 à 16:25 (UTC)

ok ok ! je commence à comprendre doucement ... en regardant les fichiers d'exemples fournis. Mais c'est vraiment compliqué pour le client de devoir générer ses clés... Ils auraient du faire un système comme RealVNC ou Mumble où les clés sont générées automatiquement (et eventuellement importées manuellement)
Re: Re: Re: -- Xbb 4 août 2009 à 16:28 (UTC)
Justement mon tuto prévoit ça. Qui dit OpenVPN dit Serveur OpenVPN. Et le gars à l'autre bout qui gère le serveur, il sait les générer les clés. C'est d'ailleurs prévu comme ça dans le HOWTO. C'est l'admin du serveur qui génère les clés publiques et privées des clients, et les leur transmet par le moyen de son choix (sécurisé).
Re: Re: Re: Re: -- Pierre 4 août 2009 à 16:35 (UTC)
ok. Mais ce n'est pas possible de juste donner au client : l'adresse du serveur, un login, un password ?
=Re: Re: Re: Re: Re: -- Xbb 4 août 2009 à 16:40 (UTC)=
Non. Il est nécessaire de générer une paire de clés (publique et privée) signée par l'autorité supérieure (CA). Le client ET le serveur possèdent leur paire, qui leur permet de chiffrer leurs messages. C'est ainsi que les authentifications pourront se faire entre client et serveur.
Ce système d'authentification n'est pas basé sur un système de mots de passe, mais sur un système de signature + chiffrement des messages.
==Re: Re: Re: Re: Re: Re: -- Pierre 4 août 2009 à 16:44 (UTC)==
ok. Par ailleurs, on n'a pas encore de tuto sur de la vo-ip sécurisée? Je pense à ça, car Mumble (logiciel de vo-ip pour le jeu) utilise un système de cryptage (je crois) et de clés privée/publique
===Re: Re: Re: Re: Re: Re: Re: -- Xbb 4 août 2009 à 17:16 (UTC)===
A mon avis, ce n'est pas le bon endroit pour en parler :)
====Re: Re: Re: Re: Re: Re: Re: Re: -- Pierre 4 août 2009 à 18:11 (UTC)====
il est ou le chat "Korben" ? un chan IRC ?

-- Pierre 6 août 2009 à 13:51 (UTC)

lorsque je laisse activé sur le serveur openvpn le paramètre :
push "redirect-gateway def1"
je n'ai plus internet coté client !
une idée ?

merci

Re: -- Pierre 6 août 2009 à 13:54 (UTC)

je précise que c'est le parametre qui permet de "forcer" les clients du VPN à utiliser le serveur comme passerelle internet. Sur Windows avec PPTP il y a moyen de le désactiver, mais je n'ai pas trouvé comment faire sur OpenVPN sous Windows.

Re: -- Xbb 6 août 2009 à 14:10 (UTC)

Le gateway etc... doivent être configurés coté client ET serveur.

Re: Re: -- Pierre 6 août 2009 à 14:12 (UTC)

c'est une config "systeme" ou "openvpn" ?
Re: Re: Re: -- Xbb 6 août 2009 à 14:13 (UTC)
Dans les fichiers config openvpn, donc config "openvpn"

Re: -- Pierre 6 août 2009 à 14:21 (UTC)

j'ai déjà trouvé un truc : si je n'ai pas internet, c'est que mon serveur ne joue pas le role de serveur DNS. J'approfondis :p

Re: -- Pierre 6 août 2009 à 14:27 (UTC)

c'est un problème à la fois client et serveur.

Voici ma config serveur qui pose probleme : 

#push "redirect-gateway def1" # Définit le serveur VPN comme passerelle par défaut pour les clients.
#push "dhcp-option DNS 10.8.0.1" # Définit le serveur VPN comme DNS par défaut

Ce que j'aimerai bien pouvoir faire :
- pouvoir laisser activée ces 2 options, pour que par defaut le client utilise le serveur en passerelle
- pouvoir (coté client) désactiver la "passerelle par défaut"

Re: -- Pierre 6 août 2009 à 14:30 (UTC)

Quand j'active ces 2 lignes sur mon serveur, la passerelle par défaut est bien active, mais la resolution des nom de domaine ne se fait pas : j'arrive à accéder à un site par son IP, mais pas par son nom de domaine. Mon serveur doti donc avoir un probleme au niveau du service "bind". Comment vérifier si il fonctionne ?


RECTIFICATION :

Quand j'active les 2 options, je ne peux rien "ping" du tout. Je n'ai pas accès aux DNS. Je n'ai pas accès aux serveurs par leurs IP.

Re: Re: -- Xbb 6 août 2009 à 14:45 (UTC)

Le serveur est-il capable de résoudre les NDD ? (tu fais un ping www.google.fr, et tu verras s'il comprend de quoi tu parles). En tout cas, c'est bien cette histoire de dhcp qu'il faut résoudre. C'est comme si le serveur ne savait pas relayer les demandes dns du client.

Re: Re: -- Xbb 6 août 2009 à 14:46 (UTC)

essaye un traceroute sur ton client pour voir par quoi les demandes de résolutions de ndd passent. Normalement elles doivent passer en premier par le serveur vpn.

Re: Re: -- Pierre 6 août 2009 à 16:23 (UTC)

Le ping, je le fait sur quelle machine, avec ou sans le VPN activé ? Pareil pour le traceroute.

Re: Re: -- Xbb 6 août 2009 à 16:31 (UTC)

ping depuis le serveur, pour voir si le serveur est lui-même capable d'appeler un DNS. Traceroute depuis le client pour voir si ça passe par le VPN ou pas (et donc oui, forcément, VPN activé).
Re: Re: Re: -- Pierre 6 août 2009 à 17:50 (UTC)
Le ping depuis le serveur ça passe. Je verrai après pour le traceroute car je dl un truc super important
Re: Re: Re: -- Xbb 7 août 2009 à 07:51 (UTC)
alors ça a donné quoi ?
Re: Re: Re: Re: -- Pierre 7 août 2009 à 08:00 (UTC)
pas eu le temps dsl :< . par contre je crois que j'ai oublié qques parametres coté client. Je fais ça dans la journée si je peux ...
Re: Re: Re: Re: -- Pierre 7 août 2009 à 09:25 (UTC)
ok, j'ai resolu le probleme de full tunneling. Il y a des configurations propres à Poptop, et d'autres propres à OpenVPN dans iptables. C'est un peu le "bordel". Je propose de continuer la discussion dans la section http://free.korben.info/index.php/Configurer_une_passerelle_r%C3%A9seau

-- Pierre 7 août 2009 à 09:33 (UTC) -- Pierre 7 août 2009 à 09:33 (UTC)

J'ai posté ici http://free.korben.info/index.php/Discuter:Configurer_une_passerelle_r%C3%A9seau comment gérer le full tunneling. C'est une config serveur. Maintenant il reste une chose à faire coté client : comment désactiver le full tunneling coté client si le serveur se propose comme passerelle par défaut. Sous PPTP Windows, il existe une option à décocher : "Utiliser la passerelle par défaut pour le réseau distant". Il ne reste plus qu'à trouver cette option sur la partie client de OpenVPN.

-- Pierre 7 août 2009 à 18:00 (UTC)

J'ai peut etre trouvé comment faire pour désactiver le full tunneling sous openvpn coté client (si le serveur force le full tunneling). Il faut aller modifier les routes du client, pour qu'il n'utilise plus le VPN comme passerelle. Manip sous Windows dans mon cas : 

route delete 0.0.0.0 MASK 128.0.0.0 10.8.0.5
route delete 128.0.0.0 MASK 128.0.0.0 10.8.0.5

Cette manip correspond au réglage que j'ai fait pour mon VPN. Je ne suis pas un expert, donc c'est sujet à discussion. La manip doit etre equivalente sous Linux.

Re: -- Xbb 9 août 2009 à 11:23 (UTC)

Et aller tout bêtement dans les propriétés tcp/ip de la connexion, et changer la passerelle par défaut (remettre celle du fai par exemple) ? C'est pas faisable ?

Re: Re: -- Pierre 9 août 2009 à 11:56 (UTC)

Peut être, je ne sais pas... J'ai vu que sur Linux il y avait une interface graphique pour configurer une connexion à OpenVPN. Et sur celle ci, il y a la même option que sur Windows "Utiliser la passerelle par défaut pour le réseau distant" (un truc qui ressemble à ça).

Re: -- Pierre 14 août 2009 à 12:14 (UTC)

j'ai trouvé LA solution. On peut donc laisser coté client l'option qui définit le serveur en tant que passerelle. Mais il existe aussi une option coté client qui permet de ne pas tenir compte des "route" que le serveur "push" au client. Il s'agit de l'option "route-noexec"

Re: Re: -- Pierre 14 août 2009 à 13:38 (UTC)

problème : ça supprime aussi la route normale vers le serveur VPN

Re: Re: -- Pierre 14 août 2009 à 13:59 (UTC)

ok, voilà un petit résumé de ce que j'ai pu trouver :

Si le serveur VPN se propose en tant que passerelle : push "redirect-gateway def1"
Si le client veut utiliser le serveur en tant que passerelle : on ne fait rien
Si le client ne veut pas utiliser le serveur en tant que passerelle : on fait coté client "route-noexec" (attention, cette commande supprime TOUTES les routes, il fut donc en rajouter qques unes manuellement)

Si le serveur VPN ne se propose PAS en tant que passerelle : on ne fait rien coté serveur
Si le client veut utiliser le serveur en tant que passerelle : on fait coté client "redirect-gateway def1"
Si le client ne veut pas utiliser le serveur en tant que passerelle : on ne fit rien

Re: Re: -- Xbb 14 août 2009 à 15:38 (UTC)

Merci ! Manque plus qu'à expliquer quelles routes refaire à la main et comment. Je les intègrerai dans le tuto :)
Re: Re: Re: -- Pierre 14 août 2009 à 15:41 (UTC)
dans le cas où on fait un "route-noexec", c'est un peu crade : route add 10.10.10.0 MASK 255.255.255.0 10.10.10.9

mon reseau est en 10.10.10.0
10.10.10.9 correspond à une deuxieme IP fictive dont je n'ai pas bien compris l'utilité. Ma vraie IP est la 10.10.10.10

Re: Re: Re: Re: -- Pierre 14 août 2009 à 15:55 (UTC)
mais c'est une solution "crade". Il vaut mieux que le serveur ne se définisse pas comme la passerelle par défaut, et que le client demande explicitement à utiliser le serveur comme passerelle.
Récupérée de « http://free.korben.info/index.php/Discussion:Configuration_d%27une_connexion_VPN_avec_OpenVPN »